漏洞公告:Dio库中CRLF序列的不当处理
高严重性等级
- GitHub 已审核
- 发布时间:2022年5月24日(至GitHub安全公告数据库)
- 更新于 2023年10月5日
- 撤销状态:此公告已于2023年10月5日撤销
漏洞详情
依赖项警报:0
受影响的包:
- dio (Pub)
受影响版本:< 5.0.0
已修复版本:5.0.0
描述
重复公告
此公告已被撤销,因为它是 GHSA-9324-jv53-9cc8 的重复公告。保留此链接是为了维护外部引用。
原始描述
Dart语言的 dio 包在 5.0.0 版本之前,如果攻击者控制了HTTP方法字符串,则可能允许CRLF注入。此漏洞与CVE-2020-35669不同。
参考信息
- https://nvd.nist.gov/vuln/detail/CVE-2021-31402
- cfug/dio#1130
- cfug/dio@927f79e
- https://osv.dev/GHSA-jwpw-q68h-r678
时间线
- 由国家漏洞数据库发布:2021年4月15日
- 发布至GitHub安全公告数据库:2022年5月24日
- 审核:2022年9月15日
- 最后更新:2023年10月5日
- 撤销:2023年10月5日
严重性等级
高 CVSS 综合评分:7.5 / 10
CVSS v3 基础指标
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 影响范围:未改变
- 机密性影响:高
- 完整性影响:无
- 可用性影响:无
CVSS向量字符串:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
弱点 (CWE)
- CWE-74:输出中用于下游组件的特殊元素不当中和(‘注入’)
- CWE-88:命令中参数分隔符不当中和(‘参数注入’)
- CWE-93:CRLF序列不当中和(‘CRLF注入’)
标识符
- CVE ID:无已知CVE
- GHSA ID:
GHSA-jwpw-q68h-r678
源代码
- cfug/dio
致谢
- 分析师:AlexV525
此公告已编辑。请参阅历史记录。